image

Microsoft: ransomware gebruikt Avast-driver voor uitschakelen antivirus

woensdag 19 oktober 2022, 12:05 door Redactie, 5 reacties

Aanvallers maken gebruik van een kwetsbare driver van antivirusbedrijf Avast om antivirussoftware bij organisaties uit te schakelen en vervolgens ransomware uit te rollen, zo waarschuwt Microsoft. Het softwarebedrijf roept organisaties dan ook op om alert te zijn wanneer virusscanners worden uitgeschakeld en hierop te monitoren.

In een blogposting beschrijft Microsoft een aanval met de Cuba-ransomware op een niet nader genoemde organisatie, waar aanvallers al acht maanden lang toegang toe hadden voordat de aanval plaatsvond. Hoe de aanvallers toegang hadden gekregen kon niet worden vastgesteld, aangezien de logbestanden geen acht maanden teruggingen. Daarnaast waren de versleutelde systemen opnieuw geïnstalleerd voordat de analyse kon plaatsvinden.

De organisatie maakte gebruik van Microsoft Defender Antivirus, maar de aanvallers wisten de beveiligingsoplossing via een kwetsbare driver van Avast uit te schakelen. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren, om zo beveiligingssoftware uit te zetten.

Eerder dit jaar werd bekend dat de aanvallers achter de AvosLocker-ransomware een kwetsbare driver van Avast bij hun aanvallen gebruiken. Ook aanvallers die van de Cuba-ransomware gebruikmaken doen dit, zo stelt Microsoft. Door de antivirussoftware in de gehele organisatie uit te schakelen was het mogelijk de ransomware uit te rollen zonder te worden geblokkeerd.

Organisaties zouden dan ook op het uitschakelen van antivirussoftware moeten monitoren en hierop reageren, aldus Microsoft. Tevens wordt aangeraden de "anti-tampering" instellingen van Defender in te schakelen om te voorkomen dat aanvallers de virusscanner uitschakelen. Microsoft biedt op Windows 10 een blocklist om kwetsbare drivers te blokkeren, maar die bleek door een fout bij het softwarebedrijf al zeker drie jaar lang niet automatisch te zijn bijgewerkt.

Image

Reacties (5)
19-10-2022, 14:45 door johanw
Gewoon eens Avast blokkeren, net zoals Avast met Firefox doet, dan weten ze ook eens hoe leuk dat is.

Jammer dat defender zoveel valse alarmen geeft.
19-10-2022, 16:22 door Anoniem
Door johanw: Gewoon eens Avast blokkeren, net zoals Avast met Firefox doet, dan weten ze ook eens hoe leuk dat is.

Jammer dat defender zoveel valse alarmen geeft.

Veel valse alarmen? Herken ik niet.
Belangrijker: heb je die valse alarmen al gemeld?
Kan hier: https://www.microsoft.com/en-us/wdsi/filesubmission
19-10-2022, 20:01 door Anoniem
Door Anoniem:
Door johanw: Gewoon eens Avast blokkeren, net zoals Avast met Firefox doet, dan weten ze ook eens hoe leuk dat is.

Jammer dat defender zoveel valse alarmen geeft.

Veel valse alarmen? Herken ik niet.

Hij bedoelt denk ik dat defender ook enthousiast berichten geeft dat ie GEEN virussen heeft gevonden.
Irritant, maar je kunt het uitschakelen. Als je tenminste geen door je bedrijf gelockte configuratie hebt.
19-10-2022, 21:44 door Anoniem
Door johanw: Gewoon eens Avast blokkeren ...
Heeft weinig zin. De boefjes gebruiken illegaal een driver van Avast in hun eigen software. Het is illegaal omdat ze niet aan Avast gevraagd hebben om hun foute software te mogen gebruiken. Dus als je iets blokkeren wilt, dan moet je de driver(s) van Avast blokkeren.
Dit soort 'ellende' heb ik niet (wel andere), want mijn computer draait een Linux-versie.
20-10-2022, 08:01 door Anoniem
De Avast-Overseer. Snuf en Snuitje kennen hem ook.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.